SIHOT.PCI

“Cartões de crédito e respetiva segurança de dados”

Segurança de dados: 

Compatibilidade PCI-PA-DSS        

“PCI Compliance” é um conceito muito importante. Este conceito consiste no cumprimento do padrão de segurança mundialmente vinculativo da principal empresa de cartões de crédito a nível mundial. PCI-PA-DSS significa “Payment Card Industry (PCI) Payment Application (PA) Data Security Standard (DSS)”. Trata-se aqui de um conjunto de regras com instruções concretas para comerciantes e fornecedores que trabalhem com cartões de crédito ou que efetuem o tratamento dos dados de cartões de crédito. O objetivo principal é a segurança ao manipular os dados do cliente, de modo a prevenir o roubo de dados e a fraude com cartões de crédito.

Além de o cumprimento dos padrões ser do interesse dos seus clientes, é também muito importante do ponto de vista económico: as empresas que armazenam dados de cartões de crédito podem ser punidas com coimas. Os requisitos relativamente ao padrão de segurança de dados estão definidos em doze requisitos PCI-PA-DSS com os respetivos subpontos.

Impactos no SIHOT

Dos doze requisitos PCI-PA-DSS, cinco têm impacto direto sobre o SIHOT. Estes são:

  • Requisito 3: proteção dos dados do titular do cartão armazenados
  • Requisito 4: encriptação durante a transmissão de dados do titular do cartão através de redes abertas, públicas
  • Requisito 7: restrição de acesso aos dados do titular do cartão consoante a necessidade de informação empresarial
  • Requisito 8: atribuição de uma identificação exclusiva para cada pessoa com acesso a computadores
  • Requisito 9: restrição do acesso físico aos dados do titular do cartão

Proteção dos dados do titular do cartão

Por um lado, a proteção dos dados do cartão significa que os dados do cartão são armazenados de forma tão limitada e por um período tão curto quanto possível e os acessos devem ser restritivos tanto quanto possível. Por outro lado, significa que os dados devem ser sempre armazenados de forma encriptada. No SIHOT.PMS os números do cartão de crédito e a data de validade são armazenados durante a duração de uma transação (duração que começa no momento da reserva até ao pagamento). O número CCV não é armazenado. No fim da transação, os dados são eliminados.

O armazenamento dos dados durante a duração de uma transação é efetuado na base de dados de forma encriptada através de um algoritmo AES. O número completo do cartão de crédito não é exibido em nenhuma parte do sistema.

Transferência de dados 

O SIHOT.PMS não realiza qualquer transmissão de dados confidenciais do titular do cartão através de redes públicas. Para autorizações prévias ou pagamentos online, o SIHOT.PMS transfere os dados necessários dentro da rede local ou no servidor (consoante o fornecedor) para o fornecedor de pagamento eletrónico, o qual deve por sua vez assegurar a encriptação dos dados confidenciais do titular do cartão, segundo o padrão PCI, durante a sua transmissão através de redes públicas.

Direitos de acesso

O acesso a dados do titular do cartão é controlado no SIHOT.PMS através da gestão dos direitos de utilizador. Para o registo no SIHOT.PMS todos os utilizadores devem introduzir um nome de utilizador e uma senha exclusivos. As senhas devem cumprir requisitos rigorosos quanto ao comprimento mínimo, data de validade e outros fatores de segurança.

SIHOT.PCI